更新时间:2024-11-18 GMT+08:00
分享

概述

云服务与KMS集成后,您只需在决定加密云服务数据时,选择一个KMS管理的用户主密钥,就可以轻松使用您选择的用户主密钥加解密您存储在这些云服务内的数据。

您可以选择云服务自动通过KMS创建的默认密钥,也可以选择您通过KMS自行创建或导入的自定义密钥,详细请参见默认密钥与自定义密钥的区别

表1 使用KMS加密的云服务列表

类型

服务

加密方式说明

计算

弹性云服务器ECS

弹性云服务器资源加密包括镜像加密和云硬盘加密。

  • 在创建弹性云服务器时,您如果选择加密镜像,弹性云服务器的系统盘会自动开启加密功能,加密方式与镜像保持一致。
  • 在创建弹性云服务器时,您也可以对添加的数据盘进行加密。

镜像服务IMS

IMS服务端加密

存储

对象存储服务OBS

OBS服务端加密

云硬盘EVS

EVS服务端加密

云硬盘备份VBS

云硬盘备份主要对服务器中单个的云硬盘(系统盘和数据盘)创建在线备份,加密云硬盘的备份数据会以加密方式存放。

云服务器备份CSBS

云服务器备份主要对服务器下所有云硬盘创建一致性在线备份,云服务器备份产生的备份,会显示在云硬盘备份中。加密云硬盘的备份数据会以加密方式存放。

弹性文件服务SFS

SFS服务端加密

数据库

云数据库MySQL

RDS数据库加密

云数据库Postgre SQL

云数据库SQL Server

文档数据库服务DDS

DDS数据库加密

EI企业智能

数据仓库服务DWS

DWS数据库加密

原理介绍

华为云服务基于信封加密技术,通过调用KMS接口来加密云服务资源。由用户管理自己的用户主密钥,华为云服务在拥有用户授权的情况下,使用用户指定的用户主密钥对数据进行加密。

图1 华为云服务使用KMS加密原理
加密流程说明如下:
  1. 用户需要在KMS中创建一个用户主密钥。
  2. 华为云服务调用KMS的“create-datakey”接口创建数据加密密钥。得到一个明文的数据加密密钥和一个密文的数据加密密钥。

    密文的数据加密密钥是由指定的用户主密钥加密明文的数据加密密钥生成的。

  3. 华为云服务使用明文的数据加密密钥来加密明文文件,得到密文文件。
  4. 华为云服务将密文的数据加密密钥和密文文件一同存储到持久化存储设备或服务中。

用户通过华为云服务下载数据时,华为云服务通过KMS指定的用户主密钥对密文的数据加密密钥进行解密,并使用解密得到的明文的数据加密密钥来解密密文数据,然后将解密后的明文数据提供给用户下载。

相关文档